Gli strumenti di hacking etico utilizzati dai test di penetrazione sono spesso identici o molto simili agli strumenti utilizzati dagli hacker malintenzionati. Un set di strumenti di hacking etico aiuta a individuare una rete di destinazione, wireless o meno, a trovare un modo per accedere alla rete e quindi violare qualsiasi password o altra sicurezza in atto per impedire tale accesso. Un altro set di strumenti viene utilizzato una volta acquisito l’accesso a una rete, consentendo una rapida scansione dei file, il rilevamento delle vulnerabilità del sistema operativo e la penetrazione di un database protetto per estrarre informazioni. Un intero set separato di strumenti viene impiegato per testare la preparazione di un sito web o di un servizio online contro attacchi come denial of service (DoS) o lo sfruttamento di applicazioni web-based.
Uno degli strumenti di hacking etico utilizzati durante il test della sicurezza di un sistema è chiamato scanner di rete. Questo software è in grado di individuare segnali wireless altrimenti nascosti al software normale e può aiutare a individuare gli indirizzi delle reti cablate a Internet. Ciò consente a un tester di trovare un punto di accesso in una rete per iniziare a testare la sicurezza interna. Gli scanner di vulnerabilità della rete possono essere utilizzati una volta trovato un punto di accesso, fornendo al tester un elenco dell’hardware e del software utilizzati sulla rete. A questo punto, il software di password cracking può essere impiegato per provare permutazioni di stringhe alfanumeriche per trovare una password o per tenere traccia dei protocolli di rete nel tentativo di estrarre la password da un pacchetto di dati intercettato.
All’interno di una rete, uno degli strumenti di hacking etico più preziosi è uno scanner di vulnerabilità. Sono disponibili diversi tipi, ma il loro concetto di base è identificare l’hardware e il software utilizzati e quindi utilizzare le vulnerabilità specifiche che contengono per ottenere un accesso più critico alle aree all’interno del sistema. Su reti molto sicure, ci sono anche modi attraverso diverse configurazioni o sistemi operativi per consentire a un hacker di prendere il controllo amministrativo su un sistema.
All’interno di un sistema, è possibile utilizzare utilità come scanner di file per isolare rapidamente le informazioni. Gli scanner di database possono trovare vulnerabilità nascoste per consentire il trasferimento di un intero database fuori dalla rete. Il software di exploit può aiutare a trovare quali bug o errori sfruttabili devono essere riparati per impedire che un sistema venga completamente rilevato da un intruso.
Un’intera gamma di strumenti di hacking etico è progettata per non penetrare in una rete per la raccolta dei dati, ma aiuta invece a simulare attacchi mirati alla pura interruzione dei servizi. Questi includono programmi che eseguono attacchi DoS, sovraccaricano un server e potenzialmente lo spengono per un po’ di tempo e strumenti che possono danneggiare un server Web, installare un falso indirizzo proxy per i visitatori o persino modificare il modo in cui i dati vengono immessi ed emessi da uno script applicazione web. Esistono anche strumenti di hacking etico che possono aiutare a determinare come e se un vero hacker potrebbe intercettare il traffico da e verso un sito Web, consentendo loro di estrarre informazioni sulla carta di credito o sulla password dagli utenti, nonostante i protocolli di crittografia.